최근 국내에서 유포되는 이벤트 정보를 알려준다는 광고 프로그램을 설치할 경우 Windows Vista, Windows 7 운영 체제에서 제공하는 사용자 계정 컨트롤(UAC : User Account Control) 보안 기능을 중지하는 사례를 확인하였습니다.
사용자 계정 컨트롤은 사용자 PC에서 Windows 설정을 변경하려는 파일이 실행될 경우 "사용자 계정 컨트롤" 창을 생성하여 허용 여부를 묻는 기능으로 악성 파일이 사용자 몰래 실행되는 것을 방지할 수 있는 중요한 보안 기능입니다.
Windows 기본값으로는 그림과 같이 사용자 계정 컨트롤 설정이 활성화된 상태로 되어 있는 것을 확인할 수 있습니다.
그런데 최근 onesoft 디지털 인증서가 추가된 국내 광고 프로그램이 설치될 경우 자동으로 UAC 기능을 OFF하는 동작을 확인하였습니다.
해당 광고 프로그램의 설치 파일(MD5 : d48b2e7510b1b9c98073901043f5bdb5)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.ADH (VirusTotal : 15/44) 진단명으로 진단되고 있으며, 하우리 바이로봇(Hauri ViRobot) 제품에서도 Trojan.Win32.S.Generic.313440 진단명으로 진단되므로 참고하시기 바랍니다.
해당 프로그램을 설치하면 시스템 트레이 알림 기능을 통해 "사용자 계정 컨트롤을 끄려면 컴퓨터를 다시 시작해야 합니다."라는 풍선 대화창이 생성되는 것을 확인할 수 있습니다.
실제 사용자 계정 컨트롤 설정 항목을 재확인해보면 자동으로 UAC 기능이 꺼져 있는 것을 확인할 수 있습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System - EnableLUA = 1:: UAC 기능 ON (기본값) - EnableLUA = 0:: UAC 기능 OFF
UAC 기능의 ON/OFF 설정 변경은 레지스트리 값을 통해 변경할 수 있으며, 기본값은 EnableLUA 값이 "1" 입니다.
그런데 해당 악성 광고 프로그램이 설치되는 과정을 모니터링해보면 [C:\Program Files\cobato\cbtup.exe] 파일이 UAC 설정값을 "0"으로 변경하는 것을 확인할 수 있습니다.
